Як безпечно зберігати API-ключі WhiteBIT: Захист від Google Dorks
Створення торгових ботів або інтеграція платіжних рішень з WhiteBIT вимагає генерації API-ключів. Проте багато початківців припускаються критичної помилки при їх зберіганні на серверах. У цій статті ми розберемо найбільш неочевидну вразливість, через яку трейдери втрачають кошти, та покажемо, як її усунути.
Securing WhiteBIT API Keys: Defending Against Google Dorks
Building trading bots or integrating payment gateways with WhiteBIT requires generating API credentials. However, many beginners make a fatal mistake when hosting them. In this guide, we will uncover the most overlooked vulnerability that costs traders their funds and show you how to patch it.
---
1. Головна загроза: витік через .env файли
Більшість сучасних фреймворків (Node.js, Python, Laravel) рекомендують зберігати секретні ключі (наприклад, WHITEBIT_API_KEY та WHITEBIT_API_SECRET) у спеціальному файлі з назвою .env.
Проблема виникає, коли розробники завантажують код на сервер і випадково залишають файл .env у публічній папці (наприклад, у /var/www/html/ або public_html/). Якщо веб-сервер не налаштовано належним чином, будь-хто в Інтернеті може зайти за адресою vash-sayt.com/.env і прочитати всі ваші паролі у вигляді звичайного тексту!
1. The Main Threat: Leaking via .env files
Most modern frameworks (Node.js, Python, Laravel) advocate storing secrets like WHITEBIT_API_KEY and WHITEBIT_API_SECRET in a hidden file named .env.
The vulnerability occurs when developers deploy code and accidentally place the .env file inside a publicly accessible root directory (like /var/www/html/ or public_html/). If the web server lacks explicit restrictions, anyone on the internet can navigate to your-site.com/.env and read your credentials in plain text!
---
2. Що таке Google Dorks?
Вам навіть не потрібно бути відомим, щоб вас зламали. Хакери використовують потужні пошукові оператори Google (так звані Google Dorks), щоб масово шукати такі відкриті файли по всьому світу.
Вони автоматизовано гуглят запити на зразок:
inurl:/.env "WHITEBIT_API_SECRET"
Google слухняно покаже хакеру всі сайти, де цей файл випадково проіндексувався. Бот одразу скопіює ключі, і вже за кілька секунд ваші активи на біржі WhiteBIT будуть під загрозою (зокрема через механізм зливу ліквідності на низьколіквідних парах, якщо у вас не включено обмеження за IP).
2. What are Google Dorks?
You don't even need to be a high-profile target to get hacked. Attackers use advanced Google search operators (known as Google Dorks) to mass-scan the internet for these exposed files globally.
They automate searches like:
inurl:/.env "WHITEBIT_API_SECRET"
Google obediently returns a list of all sites where this file was accidentally indexed. An automated bot will instantly scrape the keys, putting your WhiteBIT assets at immediate risk (especially via liquidity draining on low-volume trading pairs, assuming you neglected IP whitelisting).
---
3. Як заблокувати доступ за допомогою Nginx
Якщо ви розміщуєте свій бот чи сайт на VPS-сервері, найнадійніший спосіб убезпечити себе — це налаштувати веб-сервер Nginx так, щоб він повністю відхиляв усі веб-запити до прихованих файлів.
Відкрийте конфігураційний файл вашого сайту в Nginx (зазвичай /etc/nginx/sites-available/default) і додайте всередину блоку server { ... } наступні рядки:
3. How to Block Access Using Nginx
If you host your bot or app on a VPS instance, the most robust mitigation is configuring your Nginx web server to deny all HTTP requests directed at hidden files.
Open your site's Nginx configuration (typically /etc/nginx/sites-available/default) and insert the following snippet inside your server { ... } block:
# Блокування доступу до всіх файлів, що починаються з крапки (зокрема .env, .git)
location ~ /\. {
deny all;
access_log off;
log_not_found off;
}
Після цього обов'язково перезавантажте Nginx: sudo systemctl reload nginx. Тепер при спробі відкрити ваш .env файл через браузер, сервер видасть помилку 403 Forbidden.
After saving the file, reload Nginx: sudo systemctl reload nginx. Now, any attempt to access your .env file via a browser will result in a hard 403 Forbidden error.
---
4. Обов'язкове обмеження за IP (Whitelisting)
Навіть якщо ви приховали .env, ніколи не нехтуйте вбудованим захистом WhiteBIT:
- Зайдіть у налаштування API на біржі.
- Під час створення ключа обов'язково вкажіть Trusted IP (Довірені IP-адреси) вашого сервера.
- Не давайте дозволу на виведення коштів (Withdrawals), якщо ваш бот займається виключно трейдингом.
Якщо ви ще не маєте акаунту на WhiteBIT, ви можете скористатися нашим офіційним партнерським посиланням, щоб підтримати проєкт та отримати максимальні знижки на торгові комісії!
4. Mandatory IP Whitelisting
Even with your .env file securely hidden, never neglect WhiteBIT's built-in security features:
- Navigate to the API settings on the exchange.
- When generating a key, explicitly bind it to your server's static IP address (Trusted IPs).
- Do not grant Withdrawal permissions if your bot is only designed to trade.
If you don't have a WhiteBIT account yet, consider signing up using our official partner link to support this platform and secure maximum trading fee discounts!
🚀 Готові оптимізувати свої активи?
🚀 Ready to Optimize Your Assets?
Створіть акаунт на WhiteBIT з кодом 1ae7c718-eb73-4667-812f-e0a53f994844, щоб отримати максимальні реферальні умови та замовити платіжну картку Nova Card.
Create an account on WhiteBIT using referral code 1ae7c718-eb73-4667-812f-e0a53f994844 to secure maximum benefits and order your Visa Nova Card.